2012012194信安1202李自然-实验二---PE文件型病毒分析.docVIP

北京信息科技大学 信息管理学院 课程设计报告 课程名称 《计算机病毒分析与防范》课程设计 题 目 PE文件格式与PE病毒分析 指导教师 孙璇 设计起止日期 2015年月日北京信息科技大学 信息管理学院 （课程设计）实验报告 实验名称 PE文件格式与PE病毒分析 实验地点 3-607 实验时间 15.4 课程设计目的： 1、熟悉PE文件格式及其相关结构，了解病毒在感染文件时是如何先于HOST程序获得控制权的。 2、会使用PEditor、PE Expler等工具查看PE文件头。 课程设计内容：（以下步骤均在虚拟机中进行） 从user32.dll中获得MessageBoxA的函数地址。 （步骤：1、从系统中找到user32.dll用文本打开查看其代码结构2 、用peditor将user32.dll的PE结构进行分析3 、查看数据目录表 找到MessageboxA的函数地址） 用PEditor、PE Exploer等查看器查看分析user32.dll的PE头的结构。 3、调试概念性病毒immunity.exe的源代码，并感染host_pe.exe文件了解病毒感染的具体过程，对文件感染前后表现出的不同特征进行分析，并手工修复染毒文件。 (步骤： （1）把一个.exe文件复制后，命名为 host_pe.exe.然后，将该文件与Immunity.exe文件放在同一目录下，使用PEditor查看host_pe.exe的PE头信息，并截图保存。 （2）运行Immunity.exe文件。 （3）使用PEditor比较host_pe.exe 文件与原来的.exe文件的变化并分析记录。 （4）使用PEditor手动清除immunity病毒。先在节表中删除immunity生成的病毒节，然后手工修改入口地址以及其它被病毒修改的字段，修改后点击“应用更改”再点击“重建程序”将host_pe.exe中的垃圾代码清除。 ) 课程设计要求： 通过此次试验能够掌握PE文件的结构，会用各种PE文件分析工具对PE文件的结构和关键数据结构的地址进行查看。掌握PE病毒的基本功能和普遍用到的技术，能手工删除病毒，修复染毒文件，能对病毒代码的关键模块有所认识。 实验条件： VMware 实验方法与步骤： 1. 步骤一：查看代码 步骤二： 用peditor分析结构 步骤三：查看目录列表 2.查看文件头 PEditor PE Explore 3. 步骤一：查看host_pe.exe的PE头信息 步骤二：运行Immunity.exe，进行比较 运行前 运行后： 文件头的节数还有可选头部大小都发生了改变，文件信息变化，可选头部的镜像大小也改变了 删除病毒恢复文件 重建程序清除病毒代码 实验总结： 这次试验我觉得是加强了我们队PE文件的理解，打开软件将.dll文件运行后我们可以清楚地看到他的结构，比如PE头、目录列表、节表等，然后通过查找信息也进一步了解了他的内部结构。在感染病毒及清除病毒这一块，通过实验，我们可以看到病毒对文件修改的地方来思考 ，总的来说我觉得比上课听了之后更明白PE文件一些，但是还要努力 说明： 课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用； 实验条件由学生在实验或上机之前填写，教师应该在实验前检查并指导； 实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等； 实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等； 源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。 2 1 9